Kısaca kötü şöhretli Key Plug kötü amaçlı yazılımlarla bağlantılı bir sunucu, yanlışlıkla Fortinet güvenlik duvarı ve VPN cihazlarını hedeflemek için tasarlanmış kapsamlı bir sömürü aracı cephaneliğini ortaya çıkarmıştır.
Güvenlik araştırmacılarının Redgolf Tehdit Grubu’na atfettiği altyapı (APT41 ile örtüşen), güvence altına alınmadan önce 24 saatten daha kısa bir sürede erişilebilir ve kritik ağ altyapısına yönelik gelişmiş kalıcı tehdit operasyonlarına nadir bir bakış sunmuştur.
IP 45.77.34’te açık sunucu[.]88, CVE-2024-23108 ve CVE-2024-23109’dan yararlanan araçlar da dahil olmak üzere Fortinet cihazlarında güvenlik açıklarını hedefleyen birden fazla istismar komut dosyası ortaya çıkardı.
.png
)
Bu istismarlar, ayrıcalıklı CLI komutlarını yürütmek için Fortios’taki kimlik doğrulanmamış WebSocket uç noktalarını özellikle kötüye kullanır ve saldırganlara hedeflenen cihazlar üzerinde tam kontrol sağlar.
Kısa maruz kalma, tehdit oyuncusunun sofistike yeteneklerinin ve yüksek değerli ağ güvenlik cihazlarına odaklanmalarının altını çizmektedir.
Hunt.io araştırmacıları, sunucunun Wolfssl tarafından verilen bir TLS sertifikasını, hepsi Vultr’de barındırılan ve izlenebilir bir altyapı modeli oluşturan beş ek sunucu ile paylaştığını belirtti.
AttackCapture ™ sistemleri, kısa pozlama sırasında sunucuyu endeksledi ve yanlış yapılandırma düzeltildiğinde başka türlü kaybolmuş olabilecek kritik kanıtları korudu.
En çok bulgular arasında Fortinet cihazlarını taramak ve parmak izi için tasarlanmış Python tabanlı keşif senaryoları vardı.
“1.py” olarak tanımlanan böyle bir komut dosyası, Fortinet giriş portalları için potansiyel hedefleri sistematik olarak araştırır ve kullanıma özgü JavaScript karma değerleri, kullanıcı uyumluluğu belirlemek için kullanılabilecek kullanılabilecek. Komut dosyası, mantığı kullanarak karma çıkarır:-
script_tag = soup.select_one("script[src^='/sslvpn/js/login.js']")
Hash = script_tag['src'].split('=')[1]“WS_TEST.PY” adlı daha agresif bir istismar aracı, yerel trafiği aldatarak Fortinet kimlik doğrulamasını atlamak için işlevsellik gösterdi. Komut dosyası, yerel erişimi simüle etmek için sert kodlanmış bir başlık kullanır:-
headers = {'Forwarded': 'for=127.0.0.1; by=127.0.0.1;', 'User-Agent': 'Node.js'}Bu bypass tekniği, başarılı olduğunda, herhangi bir kimlik doğrulaması olmadan “tam tutuşma göster” gibi ayrıcalıklı komutların yürütülmesine izin verir ve potansiyel olarak tüm cihazı tehlikeye atar.
Sızan altyapı ayrıca, büyük bir Japon şirketi Shiseido’ya odaklanan hedeflemenin kanıtını da içeriyordu. Keşif çıktı dosyaları, giriş portalları, geliştirme ortamları ve kimlik sağlayıcıları dahil olmak üzere şirketle ilişkili yaklaşık yüz alanını ortaya çıkardı.
Bu hedefleme, tehdit oyuncusunun kurumsal casuslukla uğraşabileceğini veya önemli bir tedarik zinciri uzlaşmasına hazırlanabileceğini düşündürmektedir.
Analiz, komut yürütmeyi gizlemek için şifreleme kullanan “bx.php” adı verilen özellikle sofistike bir PHP tabanlı web kabuğu ortaya çıktı.
Webshell, şifrelenmiş yükleri doğrudan HTTP post body’den okur, bellekte şifresini çözer ve komutları dinamik olarak yürütür, diskte veya günlüklerde minimum kanıt bırakır.
Güvenlik uzmanları, tüm Fortinet cihazlarının derhal yama yapılmasını, şüpheli uç noktalara WebSocket el sıkışma isteklerini izlemeyi ve şimdi maruz kalan bu teknikleri kullanarak sömürü girişimlerinin belirtileri için geçmiş günlükleri gözden geçirmeyi önermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy